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Abstract. Este trabalho visa apresentar o resultado obtido por uma equipe de cientistas indianos, Agrawal, Kayal 
e Saxena onde mostram um algoritmo determinista em tempo polinomial para determinar se um dado número de 
entrada N é primo ou composto. Adicionalmente mostraremos algumas simplificações feitas sobre o algoritmo 
original, o pseudo-código de uma possível implementação e analisaremos sua complexidade algorítmica. 


1 Introdução 

Desde tempos remotos, problemas concernentes a números 
primos têm fascinado os matemáticos. De fato, Karl Fri- 
edrich Gauss (1777-1855), um dos maiores matemáticos, 
chegou a afirmar em seu Disquisitiones Arithmeticae (1801): 
“O problema de distinguir números primos de compostos e 
de decompor esses últimos em seus fatores primos é co¬ 
nhecido como sendo um dos mais importantes e úteis na 
aritmética.a dignidade da própria ciência parece reque¬ 

rer que todos os meios possíveis sejam explorados para a 
solução de um problema tão elegante e tão celebrado” (tra¬ 
duzido de Knuth [11]). Com o advento dos computadores, 
a partir de da década de 60, surgiram inúmeras tentativas 
de se obter uma formulação matemática que permitisse a 
concepção de um algoritmo eficiente para o teste de prima¬ 
lidade de um número. A relevância desse problema tem 
crescido imensamente em anos recentes devido à utilização 
intensa de números primos em algoritmos de criptografia, 
como os algoritmos RSA e El Gammal para criptografia 
pública. Dessa forma o problema do teste de primalidade 
se tornou um importante problema para a ciência da com¬ 
putação teórica. Sobre esse ponto de vista duas coisas são 
requeridas: um certificado de prova de que o algoritmo real¬ 
mente produz a resposta correta; e uma medida da eficiência 
do algoritmo, isto é, quão bem o algoritmo faz uso dos re¬ 
cursos computacionais (como o tempo ou número de passos 
executados, espaço ou memória utilizada) em função do ta¬ 
manho da entrada do problema para a obtenção da solução. 
O tamanho da entrada para um dado número N é o tamanho 
da sua codificação para a execução do algoritmo. Sabe- 
se que o número de bits necessários para representar um 
dado número N é aproximadamente k = log 2 N , isto é 
2 k < N < 2 k+1 . Para testar a primalidade de números pe¬ 
quenos, digamos todos os inteiros abaixo de IO 10 , um dos 
algoritmos mais eficientes é devido ao matemático grego 
Eratóstenes (ca. 240 A.C.). Para testar a primalidade de N 
basta dividir esse número por todos os números primos me¬ 


nores que VN. Portanto, em termos do tamanho da entrada 
k, temos que o número de operações é 0(\/N) = 0(2 k / 2 ), 
ou seja, o algoritmo tem complexidade de tempo exponen¬ 
cial no tamanho da entrada. 

Em agosto de 2002, um grupo de pesquisadores indianos, 
formado por um professor (Manindra Agrawal) e dois alu¬ 
nos de graduação (Neeraj Kayal e Nitin Saxena) do depar¬ 
tamento de Ciência da Computação e Engenharia do Indian 
Institute of Technology, provou que o problema de teste de 
primalidade pertence à classe V, ao obter o primeiro al¬ 
goritmo determinista em tempo polinomial com relação ao 
tamanho da entrada, isto é, se a entrada tem k bits, o algo¬ 
ritmo determina a possível primalidade de N em tempo que 
é da ordem de um polinómio com relação a k = log 2 N. 
Em particular o algoritmo não executa nenhuma escolha 
aleatória como fazem todos os algoritmos eficientes conhe¬ 
cidos até então. Esta descoberta deixou a comunidade de ci¬ 
entistas da área surpresos pelo fato de que, não apenas esse 
algoritmo resolve um problema de longa data, ele também 
o faz de uma maneira brilhantemente simples. Fica no ar a 
pergunta sobre o que mais tem sido deixado passar de forma 
semelhante. 

A partir de então, esforços têm sido feitos para implementar 
o algoritmo de forma eficiente, acarretando no surgimento 
de diversas variantes, que agora são mencionados como 
pertencentes à classe AKS. Dentre essas variantes, pode-se 
destacar as de Lenstra [12], Pomerance [16], Berrizbeitia 
[4], Cheng [7], Bernstein [5] e Lenstra e Pomerance [13], 
A tendência geral é a redução do expoente de complexidade 
k, cujo valor rigoroso é atualmente k = 6 + e, resultado ob¬ 
tido por [13], embora valores de até k = 4 + e tenham sido 
obtidos para determinados valores de entrada, ou para qual¬ 
quer valor de entrada assumindo hipóteses como a HGR 
(Hipótese Generalizada de Riemann) e/ou heurísticas. Mui¬ 
tos esforços têm sido concentrados para acelerar o loop de 
congruência do algoritmo, que é a etapa que consome maior 
tempo como será explicado a seguir. 



2 Trabalhos Anteriores ao AKS 


equivale a dizer 


No século 17, Fermat provou o teorema que afirma que 
para qualquer número primo p, e qualquer número a não 
divisível por p, 

a p_1 = 1 (modp). (1) 

Embora o recíproco desse teorema não seja verdadeiro, esse 
resultado tem sido utilizado como ponto de partida para 
vários algoritmos eficientes de teste de primalidade. Em 
1976, Miller [14] utilizou essa propriedade para a obtenção 
de um algoritmo determinista polinomial assumindo a HGR, 
um dos problema mais importantes da matemática contem¬ 
porânea. Esse teste foi modificado por Rabin [17], que 
introduziu uma função de probabilidade e obteve um al¬ 
goritmo muito mais eficiente e incondicional (isto é, sem 
utilizar a HGR), porém probabilístico. Entretanto, o algo¬ 
ritmo Miller-Rabin é em termos práticos o mais eficiente e 
utilizado em aplicações da vida real, como na criptografia, 
devido à probabilidade de erro extremamente baixa. O al¬ 
goritmo de Miller-Rabin funciona pelo fato que se N não é 
primo então a N_1 = 1 (mod N) falha para aproximada¬ 
mente 75% dos casos, assim se escolhemos aleatoriamente 
k valores de a sem fatores em comum, e eles validam a an¬ 
terior equação, então a probalibilidade que N seja primo é 
aproximadamente 1 — (j) fc - 

Solovay e Strassen [18] obtiveram um outro algoritmo pro¬ 
babilístico em tempo polinomial utilizando resíduos qua¬ 
dráticos. Desde então, vários algoritmos probabilísticos 
têm sido propostos. 

Um grande avanço ocorreu em 1983 com o trabalho de 
Adleman, Pomerance e Rumely [1] que obtiveram um algo¬ 
ritmo determinista e incondicional em tempo sub-exponen- 
cial (log n) 0 ( losloglosn ) (enquanto todos os outros algo¬ 
ritmos deterministas e incondicionais anteriores requeriam 
tempo exponencial), apesar de ser muito menos eficiente 
que o algoritmo de Miller-Rabin. Em 1986, Goldwasser 
e Kilian [10] propuseram um algoritmo probabilístico ba¬ 
seado em curvas elípticas com tempo esperado polinomial 
em quase qualquer entrada (ou qualquer entrada assumindo 
uma hipótese que se acredita ser verdadeira) e que produz 
um certificado de primalidade (até então, todos os algorit¬ 
mos probabilísticos produziam certificados apenas de que o 
número era composto). Adleman e Huang [2] modificaram 
o algoritmo de Goldwasser-Kilian obtendo um algoritmo 
probabilístico em tempo polinomial que sempre produz um 
certificado de primalidade. 

3 Fundamentação Matemática 

Todos os algoritmos eficientes conhecidos até o momento, 
sejam deterministas ou probabilísticos se baseiam no teo¬ 
rema de Fermat: Um número p é um número primo se e 
somente se para todo número natural a < p temos que 
a p_1 — 1 é divisível porp. Usando a notação de congruência 


p é primo 44 a 1 ' 1 = 1 (mod p) para todo a < p 

No algoritmo AKS, o fundamento matemático de fato não é 
diferente: Suponhamos que x é uma variável, a um inteiro 
e p um número primo. Usando o binômio de Newton temos 
que 

(x + a) p = 'jr( P \x p ~ j a j , 
j =o 

mas nos casos em que j é diferente de 1 e p, o coeficiente 
binomial ( p ) é divisível por p, logo todos os termos inter¬ 
mediários desta expansão são divisíveis por p, assim 

(a; + a) p = x p + a p = x p + a (mod p) 

onde na última igualdade usamos o teorema de Fermat. Desta 
forma obtemos o seguinte critério de primalidade 

N é primo 44 (z+a)-^ = x N +a (mod N), para todo a < N 


Este critério, por enquanto é ineficiente, porque temos que 
calcular todos os coeficiente de (x + a) N e mostrar que 
todos os coeficientes intermediários são divisíveis por N. 
Outra observação importante é que se os polinómios (x + 
a) N e x N + a são iguais módulo N, então eles deixam o 
mesmo resto quando divididos por qualquer polinómio. Em 
particular, se dividimos por x r — 1 temos que 


N é primo 


{x + a) N = x N + a (mod x r — 1, N), 
para todo a < N,r. 


O fato importante mostrado por Agrawal, Kayal e Saxena, 
é que só precisamos testar que esta congruência é valida 
para um valor especial de r que depende polinomialmente 
de log N e alguns poucos valores de a para determinar a 
primalidade de N. Formalmente temos 

Teorema 3.1 (Agrawal, Kayal, Saxena) Seja N um número 
inteiro positivo. Sejam q e r números primos e S um sub¬ 
conjunto com s inteiros tais que 

1. q divide r — 1 e N^ r ~ v >/ q / 0 ou 1 (mod r). 

2. rndc(N, a — b) = 1 para elementos distintos a e b de 
S. 


3. rr 1 ) > A r2y?j 

4. (x+a) N = x N +a (mod x r — l, N) para todo a e S 
Então N é uma potência de um primo. 

Em [3] se mostra, usando um teorema não elementar devido 
a Fouvry (ver [9]), a existência de r da ordem 0((log 2 N)) 6 ) 
satisfazendo q > 4 y/r log N. Assim tomando S com 2 y/r log N 
elementos, temos que r,qe s cumprem a condição 1 e 3 do 
teorema. Se a condição 2 é falsa, significa que foi encon¬ 
trado um fator de N, que portanto não seria primo. Assim 
o pseudo-código gerado pelo teorema anterior fica da se¬ 
guinte forma 



Algoritmo AKS 

1. Entrada TV > 1 

2. Se N = a b com b> 1, retoma COMPOSTO 

3. r+- 2. 

4. Enquanto (r < N) { 

5. Se mdc(r, TV) / 1, retorna COMPOSTO 

6. Ser é primo { 

7. Encontre q o maior divisor primo der — 1 

8. Se q >= 2y/r e TV( r_1 )/ 9 ^ 1 (mod r) vai 
para 10.} 

9. r <- r + 1} 

70. Para a = 1 até 2^7 log N faça 

11. Se (x + a) N ^ x N + a (mod x r — í, TV) retoma 
COMPOSTO 

12. retoma PRIMO. _ 

Lenstra mostrou a seguinte modificação do teorema anterior 

Teorema 3.2 Sejam N, r ev inteiros positivos, e ip(r) de¬ 
nota o número de números menores que r e primos relativos 
com r. Seja S um conjunto finito com s elementos. Supo¬ 
nhamos que 

1. N e r são primos relativos e a ordem de N módulo r 
é v, i.e. v é o mínimo tal que N v = 1 (mod r). 

2. mdc(N, di — da) = 1 para elementos d\ / d^ £ S. 

3. ( s +v 3 (j")-í| > n d[\ív(r)/2d] p ara t0( j 0 ^ divisor de 
T>{r)fv, 

4. (x+b) N = x N +b (mod x r -1,N)para todo b £ S. 
Então N é potência de um primo. 

Neste caso, empregando técnicas elementares de distribuição 
de primos pode-se mostrar que existe um primo r menor do 
que |(log TV) 5 tal que v = Ord r TV > ±(log TV) 2 . De fato, 
se consideramos o número 

M = TV(TV — 1)(TV 2 — 1) • • • (TV5d°s 2n l — l) 

< 7 V ( 1 + 1 + 2 +-+5r i °g 2 "i) k 2 l£S ^, 


temos que r é exatamente o menor primo que não divide 
M. Como conseqüência do teorema de Chebyshev sabe¬ 
mos que o produto dos primos menores que 2 k é maior 
que 2 k . Portanto r < ^ (log TV) 5 . Tomando o conjunto 
S = {1,2,... r*} com r elementos, temos que r,v e S sa¬ 
tisfazem as condições 1 e 3 do teorema 3.2. De fato, os 
valores no conjunto S não têm fatores em comum com TV, 
e a ordem v de TV módulo r é maior do que (log TV) 2 ]. 
Assim se d é um divisor de p(r)/v então 


- 1) Ar~ 1) 

v log 2 n 


portanto 


logo n d Lt/( r 1 )/ d J < 2 r 1 . Por outro lado como s = r 
temos que ( r+r ; 1 - 1 ) = ( 2r - 2 ) > 2 F " 1 . 

Observemos que não necessariamente estas são as melhores 
escolhas dos valores para Ser, ficando para análise futura 
a obtenção de valores ótimo para r e S. O pseudo-código 
associado a este teorema com estes valores de r e S fica da 
seguinte forma 


Algoritmo AKSL 

1. Entrada TV > 1 

2. Se N = a b com b > 1, retoma COMPOSTO 

3. Encontrar o menor r tal que Ord r TV > \ (log TV) 2 

4. Se (mdc(a, n ) > 1) para algum primo a <r, retoma 
COMPOSTO. 

5. Se (y/n < r), retoma PRIMO 

6. Para a = 1 até r faça 

7. Se((x + a) n ^ x n +a (mod x r — l,n)), retoma 
COMPOSTO. 

8. Retoma PRIMO _ 


4 Implementação e Complexidade 

Nesta seção mostraremos uma possível implementação de 
cada passo do algoritmo anterior, assim como analisaremos 
a complexidade de cada passo. No que segue 0(k n ) signi¬ 
fica 0(k n P( log k)), onde P é um polinómio. Observe que 
para todo e > 0 , 0(k n ) < 0(k n+e ). 


4.1 Determinar se TV = a b 

Observemos que se TV é uma potência perfeita, isto é N = 
a b com b > 2, como a > 2 então TV = a b > 2 b , portanto 
b < log TV, o que gera o seguinte algoritmo que retoma 1 
caso seja potência perfeita e 0 caso contrario 


Algoritmo PotenciaPerfeita 

Entrada TV 

1. Para b = 2 até log TV faça { 

2. S <- [TV 1 / 6 ] 

3. Se S b = TV retoma 1 } 

4. Retoma 0. 


Existem varias formas de implementar o passo 2.. Uma 
das mas simples é usando o método de Newton encontrado 
em qualquer livro de Cálculo elementar:“A seqüencia {x n } 
definida recorrentemente por x n+ i = x n — converge 

para uma raiz de f(x) = 0 para quase todo ponto inicial”, 
além disso a velocidade de convergência é quadrática. Em 
nosso caso f(x) = x b — TV, e nosso ponto inicial é um valor 
a direita da raiz. Dado que estamos interessados somente 
em raízes inteiras, o algoritmo fica da seguinte forma 


(r-1) 

logn 







Algoritmo Raizlnteira 

Entrada N, b 

L P = 2 \ B i N )/ b l //B(N) numero de Bits de N 

2. Faça{ 

3. Q *— [ «-> p +W p ‘- 1 J j 

4. Se (Q > P) retoma P 

5. P <— Q} 


Dada que a convergência do método de Newton é quadrática, 
em cada passo do loop obtemos o dobro de dígitos (em 
base dois) significativos, e no segundo passo já temos no 
mínimo 1 digito significativo. Isso significa que tal loop se 
repete no máximo log(|"B(iV)/6]) = (9 (log (log N)) ve¬ 
zes para obter a raiz. Dado que para calcular A B preciso 
no máximo de 2 log B multiplicações e uma divisão inteira 
tem complexidade equivalente à multiplicação, o algoritmo 
anterior tem complexidade O ( log N log log Aí). Portanto, 
podemos determinar, se um número N é potência perfeita 
com complexidade O ((log Aí) 2 log log iV) no número de 
multiplicações de inteiros com no máximo log N dígitos. 
Como a multiplicação de inteiros com k bits, tem comple¬ 
xidade ( k 2 ) usando o método clássico, ou (k log k) usando 
Transformada Rápida de Fourier (FFT), temos que a com¬ 
plexidade de determinar se um número é raiz perfeita é 
(9((log AÍ) 3 (loglog Aí) 2 ) = 0((log Aí) 3 ). Este valor está 
longe do ótimo. De fato, em [6], Bernstein mostra um algo¬ 
ritmo não elementar, usando aritmética de ponto flutuante, 
mas com complexidade 

log Aí exp(0(ç/log log Aí log log log N) = Õ(log Aí), 
isto é, quase linear. 

4.2 Ordem N módulo r 

O seguinte é um algoritmo simples, para determinar a or¬ 
dem de Aí módulo r, que verifica passo a passo qual é o 
menor inteiro j tal que Aí- 7 = 1 (mod r). 


Algoritmo Ordemmódulo 

Entrada N, r 

1. Se mdc(N, r) / 1 retoma —1. 

2. A <— N (mod r) 

3. B <— A 

4. i<- 1 

5. Enquanto B ^ 1 faça{ 

6. B <— A - B (mod r) 

7. * <- * + 1} 

8. Retoma i 

Pelo teorema de Euler (generalização do teorema de Fer- 
mat para r não primo) sabemos que a ordem de N módulo 
r é um divisor de ip(r) < r assim o passo 5 se repete 
no máximo r vezes. No passo 6. temos que fazer um 
produto de números com log r dígitos e reduzir módulo r, 


logo a complexidade do algoritmo Ordemmódulo usando 
FFT para multiplicar é 0(r log r log log r) = O(r). As¬ 
sim como no passo 3. do algoritmo AKSL testamos to¬ 
dos os valores desde \ (log Aí) 2 até o menor r que cum¬ 
pre a condição. Temos que a complexidade é no máximo 
0(r 2 log r log log r) = 0(r 2 ) para determinar r, que pode- 
se mostrar, por métodos elementares, é de fato menor do 
que \(log Aí) 5 . 

4.3 Calculo de MDC 

O seguinte algoritmo é clássico, e está baseado no algo¬ 
ritmo de Euclides:“ Seja r o resto ao dividir A por B, então 
mdc(A,B) = mdc(B,ry’. Usando interativamente este 
algoritmo até obter resto 0, obtemos o seguinte algoritmo 


Algoritmo MDC 
Entrada A, B 
L R<— A - B[jj\ 

2. Enquanto R f {) faça { 

3. A <-B 

4. B <— R 

5. R^A-B L|J} 

6. Retoma B. 

E fácil provar que o ciclo do algoritmo tem no máximo 
log ç min {A, B} passos, onde ç = 1+ 2 V ^ é a razão áurea, 
e este número é obtido exatamente quando tomamos dois 
termos consecutivos da seqüência de Fibonacci (Ver por 
exemplo [15]), assim a complexidade do passo 4 do al¬ 
goritmo AKSL é O (r logr) em número de multiplicações 
de números com log r dígitos, logo a complexidade usando 
FFT para multiplicar é 

0(r (logr) 2 log log r)=Ü(r). 

4.4 Calculo de (x + a) N módulo (x r - 1, N) 

Este passo é de fato, o mais complicado de implementar, e 
também tem a maior complexidade algorítmica, que ilus¬ 
tramos no seguinte algoritmo 


Algoritmo PotenciaPolinomio 

Entrada N, a, r onde N = ó;6;_i... òo em base 2 

1. P[x\ - 1 

2. Para i — l até 0faça{ 

3. P[x]^P[xY 

4. Se bi = 1 faça 

5. P[x\ <— P[x] ■ (x + a). 

6. P[x] <— P[x\ (mod x r — 1, Aí) 

7. Retoma P\x\ 


Como estamos interessados em polinómios módulo ( x r — 
1, Aí) cada polinómio pode ser implementado como um ar¬ 
ranjo com r entradas menores do que Aí. Assim se P(x) é 








um polinómio de grau menor ou igual a r — 1 então ( P(x )) 2 
é um polinómio de grau menor ou igual 2r — 2, isto é, 
(. P{x )) 2 = YZjlZ; 2 a :j xJ ■ Observemos que 

(P(x)) 2 = + á i+r)x j + {x r - 1) a j+r x j 

3= o j=0 

logo (P(x)) 2 = Y2 r jZoi a j + aj+r)x j (mod x r - 1 - 1), 
assim aplicar módulo x r — 1 é uma operação com complexi¬ 
dade linear com relação a r. Agora, a multiplicação de po¬ 
linómios de grau r pode ser feita usando o método clássico 
com r 2 multiplicações e r somas, ou r log r multiplicações 
usando FFT, onde estamos multiplicando números com 
log N bits. Assim a complexidade dos passos 3., 4., 5. e 6. 
do algoritmo é 0(r log r log N log log N) = 0(r log N), e 
portanto a complexidade do algoritmo PotenciaPolinomio 
é 0(r logr(log N) 2 log log N) = 0(r(logN) 2 ). 

Com isto concluímos que a complexidade dos passos 6. e 
7. do algoritmo AKSL é 

0{r 2 log r(log N) 2 log log N) = Õ(r 2 ( log N) 2 ). 

Dado que a complexidade máxima do algoritmo AKSL o- 
corre nos passo 6. e 7. temos que a complexidade o algo¬ 
ritmo é 0(r 2 ( log Aí) 2 ). 

Na prática temos que r = 0(log Aí) 2 ), assim a complexi¬ 
dade do algoritmo fica igual a O ((log Aí) 6 ). 

5 Dados Experimentais 

Os dados experimentais foram retirados de [8], onde foi 
usada uma maquina Apple G4 de 1GHz, obtendo para o 
tempo a fórmula empírica T ~ C(log Aí) 6 onde C ~ 1000 
clocks. Assim um número com 30 dígitos decimais levou 
aproximadamente um dia para a verificação. A implemen¬ 
tação usou a biblioteca GMP para cálculo de inteiros de pre¬ 
cisão arbitrária, mais não fica claro neste trabalho quais de¬ 
talhes foram considerados na implementação do algoritmo. 
É conhecido que a biblioteca GMP emprega aproximada¬ 
mente 100 clocks por dígito para realizar um produto entre 
dois números. Este resultado pode ser melhorado usando 
a biblioteca glucas (http://glucas.sourceforge.net) que em¬ 
prega apenas 13 clocks por dígito. Em [5] D. Bernstein 
afirma que com os melhoramentos feitos por Lenstra, Bjom 
Poonen, Felipe Voloch e Jeff Vaaler, o algoritmo fica 2 • 10 6 
vezes mais rápido que o algoritmo AKS original, assim 
neste caso um número de 30 dígitos decimais pode ser ve¬ 
rificado em menos de 0,04 segundos neste mesmo equi¬ 
pamento. Porém, existem poucos trabalhos, para não di¬ 
zer nenhum, onde se encontre a análise da velocidade de 
tais melhoramentos. De fato na Web, encontramos unica¬ 
mente implementações do algoritmo original. Por exemplo 
em http://perso.wanadoo.fr/yves.gallot/src/ pode-se encon¬ 
trar três implementações do algoritmo AKS original usando 
respectivamente as bibliotecas GMP, NTL e MIRACL. Yves 


Gallot afirma que esta última implementação é mais efici¬ 
ente em termos de tempo. 

6 Conclusões 

O Algoritmo AKS é interessante do ponto de vista teórico, 
já que mostrou que o problema de determinar a primalidade 
de um número está na classe V, mas na prática o tempo 
de processamente é muito inferior com relação aos algo¬ 
ritmos probabilísticos clássicos, tais como Miller-Rabin e 
Solovay-Strassen que são altamente eficientes, e amplamente 
usados nos métodos de criptografia. De fato, escolhendo 
aleatoriamente 20 primos que validam os testes, temos que 
a probabilidade do número escolhido não ser primo é menor 
do que 9 • 10 -13 . Por outro lado, caso a Hipótese Generali¬ 
zada de Riemann seja verdadeira, o teste de Miller-Rabin 
torna-se um teste determinista, mas este problema ainda 
está em aberto e é considerado um dos problemas mais 
difíceis da matemática. De fato, o Clay Mathematics Insti- 
tute oferece um prêmio de 1 milhão de dólares para a pri¬ 
meira solução, (ver http://www.claymath.org/millennium/). 
Como um possível trabalho futuro, fica aberta a possibili¬ 
dade de diminuir o valor de r e o número de elementos de S 
do teorema 3.2, em nível de complexidade, já que neste mo¬ 
mento sabemos que rs = O ((log Aí) 4 ), onde sé o número 
de elementos do conjunto S. Assim mesmo, um trabalho 
interessante pode ser a implementação de todos os melho¬ 
ramentos teóricos encontrados na literatura, para realizar 
medições e comparações com o algoritmo original e com 
outros algoritmos determinísticos e/ou probabilísticos. 
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APÊNDICE 


Prova do teorema 3.1 

Seja p um divisor primo de n, tal que p( r_1 )A ^ o ou 1 
(mod r). Logo por hipótese, (x + a) n = x n + a no anel 
¥ p [x\/(x r — 1) para todo a £ S. Substituindo x por x n ' 
temos que (x n ' + a) n = x n ' +anoanelF p [a;]/(a;"' V -l) 
para todo a £ S, e logo também no anel ¥ p [x\/{x r — 1). 
Indutivamente obtemos que (x + o)”* = x n ‘ + a no anel 
F p [x]/{x r — 1) para todo a £ S. Pelo teorema de Fermat 
obtemos 

(x + af pi = ( x ni + df = + a 

no anel ¥ p [x]/(x r — 1) para todo a £ S. 

Considere os produtos n l yf com 0 < i.j < \_y/r\. Note 
que 

1 < nV < n 2 ^- 1 . 

Como temos (|_\/rj +1) 2 > r pares (i, j ), logo existem pa¬ 
res ( i , j), (k, l ) tais que n l jf = n k p l (mod r). Escrevendo 
t = nV u = n k p l temos que 

\t-u\< n 2|VFJ 

e x* = x u em ¥ p [x]/ ( x r — 1), logo (x + af = x k + a = 
x u + a= (x + a) u emFj,[a:]/(/ — 1). 

Seja h polinómio irredutível em W p [x\/(x r — 1) divisor de 
(. x r — \)/{x — 1). O grau de h é a ordem de p módulo r e 
portanto deg h> q. 

Agora (x + a)* = (x + á) u no corpo F p [x]/h para todo 
a £ S. Seja G o subgrupo de (F p [x]//i)* gerado por {x + 
a\a £ S 1 }. Como os elementos de G são da forma 

JJ (x + a) ea com ef, < q — 1 

aes aes 

portanto G tem no mínimo 

( S + ^" 1 )>n 2L ^ J >|í —u| 

elementos, e para todo g £ G temos que g f = g u , mas esta 
equação pode ter no máximo \t — u\ soluções num corpo, 
logo t = u, isto é, nV = n k p l , mas se i = k implica 
j = l,o que contradiz o fato de (i, j) e (k, l) ser diferentes, 
portanto n tem que ser uma potência de p. 



